一种5G边缘网关服务器

技术领域

本发明涉及5G通信、核心网及边缘计算领域，尤其涉及一种5G边缘网关服务器。

背景技术

近年来，5G网络的大规模部署，推动了5G行业专网的快速发展与落地实施，成为了赋能千行百业的强劲引擎，给垂直行业客户带来了高带宽、低时延、广连接的良好用户体验。目前，5G行业专网通常采用UPF下沉至行业客户现场或整个轻量化5GC都下沉至行业客户现场的部署方式。

UPF作为5G核心网中的用户面网元，主要实现业务数据的快速路由转发、业务识别、策略执行、计量计费、PFCP会话管理等功能，其N6接口通常对接数据中心应用服务器集群。与ToC场景相比，ToB UPF的部署相对简单，N6接口往往直接对接应用服务器系统，并且对N6接口业务数据缺少精细化管控，而且ToBUPF还可能缺少运营商统一编排系统、统一网管系统、统一计量计费等系统的管理、监控及运维。尤其在UPF下沉或5GC下沉等边缘5G行业专网的应用场景下，可能会存在用户信息安全威胁、流量感知困难、无法控制用户或边缘应用的访问权限、无法识别用户行为、故障不能快速定界定位、数据流量计量计费困难等问题。

发明内容

鉴于上述问题，提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种5G边缘网关服务器。

根据本发明的一个方面，提供了一种5G边缘网关服务器，所述网关服务器包括：所述服务器部署于UPFN6接口上，位于UPF与应用服务器系统之间，包括操作系统、虚拟化云平台、边缘分流、流量管理、数据分发、域名服务器、业务识别、统计分析、权限控制、应用隔离、日志管理、AAA认证、带宽管理、流量门禁及OpenAPI功能模块。

可选的，所述各个功能模块采用高内聚低耦合的设计理念，模块间通信采用轻量化的消息机制，用于减少功能耦合。

可选的，所述虚拟化平台为OpenStack、Kubernetes等虚拟化基础设施底座，屏蔽了底层硬件的差异，并为上层应用提供虚拟化后的计算、存储及网络资源。

可选的，所述边缘分流，用于负责对本地分流规则的录入、保存、激活、去激活的管理；

边缘网关支持基于目的IP地址及端口号的分流规则，同时支持基于域名及端口号的分流规则；

进行分流规则激活操作时，边缘网关将分流规则组织成RESTful API的形式发送至UPF进行激活生效；

分流规则生效后，满足分流规则的本地数据流量，通过UPFN6接口发送至边缘网关，剩余数据流量通过UPFN9接口发送至中心UPF。

可选的，所述流量管理，用于负责接管UPFN6接口的所有满足分流规则的数据流量，N6接口的所有数据必须经过边缘网关，由边缘网关对N6接口的所有IP数据包进行处理。

可选的，所述数据分发，用于负责将从上一个节点接收到的数据路由转发至下一个节点，边缘网关根据路由规则及MTU取值，将从UPFN6接口接收的数据报文进行分片、转发或丢弃；

边缘网关支持对IP类型的数据报文的转发；

边缘网关支持根据IP五元组转发数据；

边缘网关还支持根据域名转发数据，并内置DNSCache功能，支持识别访问DNS报文并进行转发处理；

边缘网关还支持根据URL转发数据，并支持负载均衡，根据负载均衡规则将对相同URL的访问负载均衡至不同的后端服务器。

可选的，所述域名服务器，用于负责录入、保存与管理应用服务器中各个应用的域名与IP地址的对应关系，域名服务器进行域名解析时，根据具体需求灵活选择递归查询、迭代查询或两者相结合的方式。

可选的，所述业务识别，用于负责识别IPv4、IPv6或IPv4v6类型的业务数据，边缘网关对所有数据进行不同协议层次的业务分析，协议层次可灵活配置从而区分不同数据业务；

边缘网关支持IP协议的第三层，基于源IP地址、源IP地址掩码、目的IP地址、目的IP地址掩码进行数据识别；边缘网关还支持IP协议的第四层，即基于协议类型、源端口号、目的端口号进行数据识别；

边缘网关还支持IP协议的应用层业务识别，支持识别如HTTP、FTP、RTSP、MQTT、DNS常用的数据业务，并支持基于垂直行业用户的需求进行扩展增强。

可选的，所述统计分析，用于负责对通过边缘网关的数据流量进行监控、统计、分析及计费；

支持从多个维度统计数据流量，包括从时间维度进行统计，支持按年/月/周/日/时/分/秒的维度统计，支持选取任意起止时间进行统计；支持从IP五元组维度统计；支持从域名维度统计；支持从四层规则维度统计；支持从七层规则维度统计；

支持定义流量统计规则，将时间、四层/七层协议维度进行自定义组合统计，筛选出关注的数据流量。

可选的，所述权限控制，用于负责控制终端用户对边缘应用APP的访问权限；

边缘网关支持黑白名单设置，支持从UE标识和应用APP两个维度进行配置；

列入黑名单的UE标识将会被拒绝访问指定的应用，不在黑名单中的UE标识则会被允许访问指定的应用；

列入白名单的UE标识将会被允许访问指定的应用，而不在白名单中的UE标识则被拒绝访问指定的应用；

黑名单或白名单通常只选择其中一类进行生效。

本发明提供的一种5G边缘网关服务器，所述网关服务器包括：所述服务器部署于UPFN6接口上，位于UPF与应用服务器系统之间，包括操作系统、虚拟化云平台、边缘分流、流量管理、数据分发、域名服务器、业务识别、统计分析、权限控制、应用隔离、日志管理、AAA认证、带宽管理、流量门禁及OpenAPI功能模块。对UPF及边缘计算进行功能增强。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明提供的一种5G边缘网关服务器架构图；

图2为本发明提供的一种5G边缘网关系统架构图；

图3为本发明提供的一种5G边缘网关实现方法主要工作流程示意图；

图4为本发明提供的具体实施例1示意图；

图5为本发明提供的具体实施例2示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明的说明书实施例和权利要求书及附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元。

下面结合附图和实施例，对本发明的技术方案做进一步的详细描述。

如图1所示，一种5G边缘网关服务器，该服务器部署于UPFN6接口上，位于UPF与应用服务器系统之间，主要包括操作系统、虚拟化云平台、边缘分流、流量管理、数据分发、域名服务器、业务识别、统计分析、权限控制、应用隔离、日志管理、AAA认证、带宽管理、流量门禁及OpenAPI等功能模块。各个功能模块采用高内聚低耦合的设计理念，模块间通信采用轻量化的消息机制，以减少功能耦合。

操作系统为系统运行的基础环境，通常为通用的Linux操作系统，如CentOS、Ubuntu。

虚拟化云平台通常为OpenStack、Kubernetes等虚拟化基础设施底座，其屏蔽了底层硬件的差异，并为上层应用提供虚拟化后的计算、存储及网络资源。该虚拟化云平台为可选功能模块，可根据业务需求确定采用具体的虚拟化方案，或不采用虚拟化方案。

边缘分流，用于负责对本地分流规则的录入、保存、激活、去激活等管理。边缘网关支持基于目的IP地址及端口号的分流规则，同时支持基于域名及端口号的分流规则。进行分流规则激活操作时，边缘网关将分流规则组织成RESTfulAPI的形式发送至UPF进行激活生效。分流规则生效后，满足分流规则的本地数据流量，通过UPFN6接口发送至边缘网关，其它数据流量通过UPFN9接口发送至中心UPF。

流量管理，用于负责接管UPFN6接口的所有满足分流规则的数据流量，即N6接口的所有数据必须经过边缘网关，由边缘网关对N6接口的所有IP数据包进行处理，而不能以任何形式进行旁路或规避。

数据分发，用于负责将从上一个节点接收到的数据路由转发至下一个节点，边缘网关根据路由规则及MTU取值，将从UPFN6接口接收的数据报文进行分片、转发或丢弃。边缘网关支持对IP类型的数据报文的转发。边缘网关支持根据IP五元组转发数据；边缘网关还支持根据域名转发数据，并内置DNSCache功能，支持识别访问DNS报文并进行转发处理；边缘网关还支持根据URL转发数据，并支持负载均衡，根据负载均衡规则将对相同URL的访问负载均衡至不同的后端服务器。

域名服务器，用于负责录入、保存与管理应用服务器中各个应用的域名与IP地址的对应关系。域名服务器进行域名解析时，可根据具体需求灵活选择递归查询、迭代查询或两者相结合的方式。

业务识别，用于负责识别IPv4、IPv6或IPv4v6类型的业务数据，边缘网关对所有数据进行不同协议层次(从三层到七层)的业务分析，协议层次可灵活配置从而区分不同数据业务。边缘网关支持IP协议的第三层，即基于源IP地址、源IP地址掩码、目的IP地址、目的IP地址掩码进行数据识别；边缘网关还支持IP协议的第四层，即基于协议类型(如TCP/UDP等)、源端口号、目的端口号进行数据识别；边缘网关还支持IP协议的应用层业务识别，支持识别如HTTP、FTP、RTSP、MQTT、DNS等常用的数据业务，并支持基于垂直行业用户的需求进行扩展增强。

统计分析，用于负责对通过边缘网关的数据流量进行监控、统计、分析及计费。支持从多个维度统计数据流量，包括从时间维度进行统计，支持按年/月/周/日/时/分/秒的维度统计，支持选取任意起止时间进行统计；支持从IP五元组维度统计；支持从域名维度统计；支持从四层规则(TCP、UDP)维度统计；支持从七层规则(FTP、RTSP、DNS、MQTT等协议)维度统计。支持定义流量统计规则，可以将时间、四层/七层协议等维度进行自定义组合统计，筛选出关注的数据流量。基于这些数据，边缘网关客户端可以通过图形化界面实时展示数据流量，支持数据流量按协议族进行分类展现，并根据时间顺序实时显示网络带宽走势。统计结果支持友好的GUI界面呈现，如统计报表、柱状图、饼状图、数据流图等，并支持以多种文件格式导出下载。根据数据流量统计结果，结合APP已知流量类型(如视频、图像、文字类)及对应协议及端口，通过应用流量分析得出高频流量类型，为终端用户提供用户使用习惯、用户偏好及用户画像支撑。进一步的，根据数据流量峰谷值情况，分析带宽利用率及资源利用率，为软硬件扩容提供数据依据。在5G行业专网不具备计费功能或计费功能暂时失效的场景下，边缘网关可支持基于时间维度或流量维度的计费，计费规则可灵活自定义。

权限控制，用于负责控制终端用户对边缘应用APP的访问权限。边缘网关支持黑白名单设置，支持从UE标识和应用APP两个维度进行配置。列入黑名单的UE标识将会被拒绝访问指定的应用，不在黑名单中的UE标识则会被允许访问指定的应用。列入白名单的UE标识将会被允许访问指定的应用，而不在白名单中的UE标识则被拒绝访问指定的应用。黑名单或白名单通常只选择其中一类进行生效。边缘网关还支持根据IP五元组控制访问边缘应用的权限，支持根据域名控制访问边缘应用的权限，支持根据目的IP所在子网控制访问边缘应用的权限。

应用隔离，用于负责实现应用APP或应用APP组之间的隔离，并按照应用APP不同的部署形式，实施不同的隔离形式。支持通过租户实现隔离，若后端应用APP部署于私有云或边缘云，通过租户隔离的方式对应用进行隔离。支持通过网络实现隔离，若后端应用独立部署于服务器上，则通过网络在逻辑层面进行隔离，根据网络规划按子网将应用进行分组管理，并在边缘网关侧配置使用VLAN、VxLAN、GRE等方式来实现网络流量的逻辑隔离。

日志管理，用于负责记录终端用户访问应用APP的操作行为及边缘网关的操作行为。支持根据三、四、七层规则，记录UE访问服务器的日志；支持记录边缘网关的所有操作行为。记录的日志格式符合业界标准，如包括时间戳、用户名、IP五元组、操作类型等信息，以便于后期用于排障、审计、溯源等用途。进一步的，支持用户可自定义日志记录规则。支持日志记录的展示、检索、导出、下载等操作。

AAA认证，用于负责对终端用户进行二次鉴权与审计、管理终端IP地址等。在边缘网关部署AAA服务器，支持通过UE标识、密钥等形式对终端用户进行二次鉴权，防止非法用户访问，提升系统安全性。支持对终端访问的IP地址进行追溯、查询及审计。支持通过UPF的Framed-Route功能，对CPE下挂的终端进行IP地址分配和管理，使得业务系统可以对终端进行下行访问和控制。

带宽管理，用于负责对终端用户访问应用APP的带宽进行分配及限制等管理。支持APP粒度和会话粒度的带宽管理。支持通过IP五元组的形式为指定的终端用户及应用APP分配并限制带宽。支持指定带宽抢占优先级。支持指定带宽管理作用于上行链路或者下行链路。

流量门禁，用于负责对终端用户访问应用APP的流量进行分配及限制等管理。支持通过IP五元组的形式为指定的终端用户及应用APP分配并限制可使用的流量限额。支持为指定的终端用户及应用APP分配并限制流量放行的时长限额。

OpenAPI，用于负责对外提供统一的API接口，接口通常采用RESTful风格。通过OpenAPI，边缘网关服务器接收边缘网关客户端发送的请求消息，并回复应答消息。

如图2所示，本发明还提供了一种5G边缘网关系统，该系统部署于运营商网络边缘节点或行业客户现场，以满足垂直行业客户的定制化需求，主要包括边缘UPF、5G边缘网关服务器及5G边缘网关客户端。

边缘UPF，为5G核心网用户面网元在网络边缘的一种部署形态，主要实现业务数据的快速路由转发、业务识别、策略执行、计量计费、PFCP会话管理等功能。边缘UPF通过N3接口对接5GNR(5G下一代无线接入网)，通过N4接口接收5GC控制面策略下发与会话管理指令，通过N6接口对接5G边缘网关，通过N9接口对接中心UPF。

5G边缘网关服务器，其各个组成功能模块及其用途已在前文进行描述，在此不再赘述。5G边缘网关服务器可与边缘UPF合并部署于同一个公有云、私有云或物理服务器上，也可分开分别部署于公有云、私有云或物理服务器上。

5G边缘网关客户端，通过友好的GUI界面对用户呈现，用户可通过此界面输入信息，同时，通过此界面展示分析统计后的报表、图表、日志及各类走势图等统计信息。

通过上述边缘网关系统，可实现UPF的功能增强，满足垂直行业用户的各种定制化需求。

如图3所示，本发明还提供了一种5G边缘网关的功能实现方法，以下结合5G边缘网关相关的主要工作流程进行描述。

工作流程F1涉及的功能包括边缘分流规则的增删改查，域名与IP地址对应关系的增删改查，业务识别规则的增删改查，统计分析规则的增删改查，计量计费规则的增删改查，权限控制规则的增删改查，应用隔离规则的增删改查，日志记录规则的增删改查，带宽管理规则的增删改查，流量门禁规则的增删改查等，包括如下具体步骤:

第一步，5G边缘网关客户端接收用户输入信息，组织成轻量化的请求消息，如RESTful风格的消息格式，并发送至5G边缘网关服务器。

第二步，5G边缘网关服务器OpenAPI接收到请求消息后，识别为规则增删改查类型的消息，则转发至内部相应的功能模块(例如边缘分流)。

第三步，相应的功能模块(例如边缘分流)解析处理请求消息，并更新后台持久化存储数据库。

工作流程F2为工作流程F1对应的应答流程，包括如下具体步骤:

第一步，5G边缘网关服务器功能模块(例如边缘分流)完成请求消息的处理后，返回处理结果至OpenAPI。

第二步，OpenAPI接收到处理结果后，组织成轻量化的应答消息，如RESTful风格的消息格式，并发送至5G边缘网关客户端。

第三步，5G边缘网关客户端解析应答消息，并将处理结果在GUI界面上进行呈现。

工作流程F3涉及的功能包括边缘分流规则的激活、去激活，权限控制规则的激活、去激活，带宽管理规则的激活、去激活，流量门禁规则的激活、去激活等，包括如下具体步骤:

第一步，5G边缘网关客户端接收用户输入信息，组织成轻量化的请求消息，如RESTful风格的消息格式，并发送至5G边缘网关服务器。

第二步，5G边缘网关服务器OpenAPI接收到请求消息后，识别为规则激活、去激活类型的消息，则转发至边缘UPF。

第三步，边缘UPF解析处理请求消息，并执行规则生效，最后更新后台持久化存储数据库。

工作流程F4为工作流程F3对应的应答流程，包括如下具体步骤:

第一步，边缘UPF完成请求消息的处理后，返回处理结果至Open API。

第二步，OpenAPI接收到处理结果后，组织成轻量化的应答消息，如RESTful风格的消息格式，并发送至5G边缘网关客户端。

第三步，5G边缘网关客户端解析应答消息，并将处理结果在GUI界面上进行呈现。

工作流程F5为终端至应用服务器的上行数据流程，包括如下具体步骤:

第一步，终端发送上行数据，经5GNR处理后，通过N3隧道发送至边缘UPF。边缘UPF剥离掉GTP-U数据包头，恢复成普通的IP数据包。

第二步，边缘UPF判断IP数据包是否满足边缘分流规则，如果满足，则通过N6接口发送至5G边缘网关服务器，否则重新封装GTP-U包头并通过N9隧道发送至中心UPF。

第三步，5G边缘网关服务器对上行数据包进行流量分析、业务识别、计量计费、日志记录等处理。

第四步，5G边缘网关服务器根据数据包目的地址，发送至对应的APP服务器。

工作流程F6为应用服务器至终端的下行数据流程，包括如下具体步骤:

第一步，应用服务器发送下行数据至5G边缘网关服务器。

第二步，5G边缘网关服务器对下行数据包进行流量分析、业务识别、计量计费、日志记录等处理。

第三步，5G边缘网关服务器把数据包通过N6接口发送至边缘UPF。

第四步，边缘UPF封装GTP-U包头并通过N3隧道发送至5GNR，经5GNR处理后，下行数据到达终端。

如图4所示，本发明提供的第一种实施例采用UPF下沉至行业客户现场的部署方式，5GC控制面及中心UPF部署在运营商大区中心机房，并分别通过N4接口、N9接口与边缘UPF相连接。下沉部署的边缘UPF与5G基站接受运营商统一编排系统和统一网管系统的管理。边缘UPF和5G边缘网关均采用独立的高性能物理服务器部署，以达到提升转发性能的目的。在这种部署模式下，5G边缘网关根据具体需求启用边缘分流、流量管理、数据分发、域名服务器、业务识别、统计分析、AAA认证、带宽管理、流量门禁等功能模块。基于增强覆盖和边缘计算技术，实现本地流量卸载与边缘数据处理，满足客户对高带宽、低时延等业务需求；同时，还实现本地数据在园区内终结，极大程度保障了数据的安全性。通过这种公网专用的方式，能够为客户提供增强覆盖能力，具有超强并发连接的特性，为垂直细分行业的各类智能终端设备提供5G接入服务，并可通过5G边缘网关实现UPF功能增强及客户定制化需求，适用于医院、企业园区、智慧工厂等半开放的应用场景。

如图5所示，本发明提供的第二种实施例采用整个轻量化5GC下沉至行业客户现场的部署方式。下沉部署的边缘UPF、控制面5GC及5G基站接受运营商统一编排系统和统一网管系统的管理，但在一些偏远地区，受限于基础设施条件，这些本地部署的设备可能无法接入运营商统一编排及网管系统，因此在这种情况下只能采用本地运维的方式。边缘UPF、控制面5GC及5G边缘网关部署于同一套OpenStack或Kubernetes私有云，以达到提升资源利用率的目的。在这种部署模式下，5G边缘网关可根据具体需求启用流量管理、数据分发、域名服务器、业务识别、统计分析、计量计费、权限控制、应用隔离、日志管理等功能模块。通过对5GC、5G基站、频率等专建专享，为客户构建专用的无线网络，满足客户的高安全性、高隔离性、定制化的建网需求。通过这种专网专用的方式，能够为客户提供无死角覆盖能力，可为垂直细分行业的定制化智能终端设备提供5G接入服务，并可通过5G边缘网关实现UPF功能增强及客户定制化需求，适用于军队、监狱、智慧矿山等局部封闭且对信息安全、私密性、隔离度要求极高的应用场景。

有益效果：针对5G行业专网场景下的边缘UPF网元，通过部署5G边缘网关的方式，对流量监控、权限控制、数据安全、应用隔离、日志管理等方面进行功能增强，可充分发挥5G网络超高带宽、超低时延、超大规模连接的优势，承载垂直行业更多样化的业务需求，能更好地在高带宽、低时延、泛在接入、安全可靠、可管可控等方面助力细分行业典型业务应用。

5G边缘网关内部各个模块之间功能解耦，可根据具体需求，灵活组合适配。同时，各个功能模块规则可灵活自定义，可根据细分行业应用需求，按需定制功能，实现自主可控、易管理、易运维，实现网络能力可定制、网络性能可定制、服务范围和部署策略可定制，有助于垂直行业分步骤、按需、快速地开通新业务所需网络新特性。

针对UPF下沉部署或5GC下沉部署等5G行业专网应用场景，5G边缘网关可采用与UPF融合部署或分离部署的方式，部署于UPF N6接口，对现有网络拓扑改动较少，有利于网络新特性的快速落地与开通。

5G边缘网关采用软件形态实现，可部署于不同形态的基础设施与通用硬件上，具备较强的环境适应能力，且能最大程度地减少投资、部署、运维成本及工作量。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。